WEB服务安全配置与SSL协议

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

WEB服务安全配置与SSL协议1)IIS的安全配置2)利用SSL实现安全的WEB传输服务实验目的1、掌握IIS的安全配置2、了解windowsCA证书服务器的配置与功能3、掌握SSL的原理和安装配置SSL站点的操作实验内容一、IIS-web服务的安全配置:1)安装IIS,默认目录改为e:/myweb,并创建主页文档index.htm;2)设置本web站点只能由172.16.40.0/24的主机访问;3)设置本web站点或站点子目录只能由用户student访问;4)设置web日志为w3c格式,扩充属性增加主机、发送和接收字节等;另设置web日志为ncsa格式,比较与w3c格式有何不同。二、配置ssl站点,实现安全的web传输:1)安装配置好Windows2000证书服务A(ip地址:ipa);2)在IIS-web服务器B上(ip为ipb),准备一个证书请求信息(certreq.txt):Internet服务管理器→web站点属性→目录安全性→服务器证书…3)访问,提交证书申请(申请证书→高级申请…);4)由证书服务器A审查证书申请和颁发证书;5)访问,下载已颁发的证书(certnew.cer)6)在IIS-web服务器B上安装证书,使该站点变为SSL站点7)用https协议实现web数据的安全浏览()8)尝试使用网络监视器、sniffer等抓包工具捕获通讯的数据包,注意观察sslweb站点与普通web站点的不同思考问题1)IIS的日志文件一般存在什么地方,有什么作用?2)简述ssl的原理,ssl的端口号一般为多少?3)比较ssl的web站点与普通web站点的区别,可从服务器设置、客户端访问、数据传输安全等方面叙述。4)想一想windows2000证书服务器的主要功能。5)IIS6.0与IIS5.0比较在安全方面有那些增强?参考资料用SSL加密增强FTP服务器的安全性在IIS上面布置SSL实现web安全通信用SSL增强IIS安全性的原理和实现过程资料在网上查找用IIS建立高安全性Web服务器应用NTFS文件系统,合理配置权限修改默认目录C:/Inetpub共享权限的修改为系统管理员账号更名废止TCP/IP上的NetBIOS善用安全策略和web日志审计定期打补丁升级设置IIS的安全机制设置IIS的安全机制:安装时应注意的安全问题•避免安装在主域控制器上•避免安装在系统分区上用户控制的安全性•匿名用户•一般用户登录认证的安全性•匿名访问•基本验证•Windows集成验证设置IIS的安全机制设置IIS的安全机制:访问权限控制•文件夹和文件的访问权限•目录的访问权限IP地址的控制端口安全性的实现IP转发的安全性SSL安全机制设置IIS的安全机制IIS-Web服务器的日志Web服务器的通用日志格式(CommonLogFormat)日志所在目录:C:\WINNT\system32\LogFiles\W3SVC1通用日志格式针对每一个Web请求生成一行纪录,记录以空格作为分隔,包括如下内容:remotehosrfc931authuser[date]requeststatusbytesSSL作为Web安全性解决方案1995年由Netscape公司提出SSL已经作为事实上的标准被众多网络产品提供商采纳SSL(SecuritySocketLayer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。SSL原理SSL原理①浏览器请求与服务器建立安全会话②服务器将自己的公钥发给浏览器③服务器与浏览器协商密钥位数(40位或128位)④浏览器产生会话使用的秘密密钥,并用服务器⑤服务器用自己的私钥解密⑥服务器和浏览器用会话密钥加密和解密,实现加密传输利用SSL实现安全的WEB传输服务1)安装证书服务器2)申请证书(准备请求信息→提交申请)3)审查颁发证书4)下载颁发的证书5)在IIS-WEB服务器上安装证书,使该站点变为SSL站点6)用https协议实现web数据的安全浏览安装证书管理软件和服务(1)windows2000公钥基础设施PKI和认证机构CA图中给出了组成Windows2000PKI的基本逻辑组件,其中最核心的为微软证书服务系统(MicrosoftCertificateServices),它允许用户配置一个或多个企业CA,这些CA支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布。windows2000公钥基础设施PKI和认证机构CAWindows2000PKI其基本组件包括如下几种:1)证书服务(CertificateServices):证书服务作为一项核心的操作系统级服务,允许组织和企业建立自己的CA系统,并发布和管理数字证书。2)活动目录:活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源的唯一位置,在PKI中为证书和CRL等信息提供发布服务。3)基于PKI的应用:Windows本身提供了许多基于PKI的应用,如InternetExplorer、MicrosoftMoney、InternetInformationServer、Outlook和OutlookExpress等。另外,一些其它第三方PKI应用也同样可以建立在Windows2000PKI基础之上。4)Exchange密钥管理服务KMS(ExchangeKeyManagementService)KMS是MicrosoftExchange提供的一项服务,允许应用存储和获取用于加密e-mail的密钥。在将来版本的Windows系统中,KMS将作为Windows操作系统的一部分来提供企业级的KMS服务。Windows2000中的集成PKI系统提供了证书服务功能,可以让用户通过Internet/extranets/intranets安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用户登录到某个域。Windows2000通过创建一个证书机构CA来管理其公钥基础设施PKI,以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系,以提供对用户身份的证明。Windows2000证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表CRL(CertificateRevocationList)。证书服务是通过内置的证书管理单元来实现的。安装证书管理软件和服务(2)安装证书管理软件和服务(3)安装证书管理软件和服务(4)安装证书管理软件和服务(5)准备一个证书请求信息(1)准备一个证书请求信息(2)准备一个证书请求信息(3)准备一个证书请求信息(4)准备一个证书请求信息(5)准备一个证书请求信息(6)准备一个证书请求信息(7)提交证书申请(1)提交证书申请(2)提交证书申请(3)提交证书申请(4)提交证书申请(5)为证书申请者颁布证书(1)为证书申请者颁布证书(2)为证书申请者颁布证书(3)为证书申请者颁布证书(4)下载证书(1)下载证书(2)下载证书(3)下载证书(4)安装证书并配置服务器(1)安装证书并配置服务器(2)安装证书并配置服务器(3)安装证书并配置服务器(4)安装证书并配置服务器(5)安装证书并配置服务器(6)安装证书并配置服务器(7)验证并访问安全的Web站点(1)验证并访问安全的Web站点(2)验证并访问安全的Web站点(2)

1 / 51
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功